[我们有一个JS客户端,可通过CORS直接与API通讯。此API受OAuth保护。
我们需要在用户登录之前与该API交谈,所以我们将无法访问资源所有者授予令牌。
我们可以使用客户端凭据,但是随后我们必须在客户端资产(js)中公开clientId和clientSecret。
没有用户令牌时从JavaScript访问OAuth API的最佳做法是什么?
我可以推荐一些东西,但需要更多数据。您是否具有访问API的客户端授权?如果是这样,那么使用像Pathfix这样的OAuth代理将使其超级安全。